Categories: SeguridadVirus

Vulnerabilidad en PHP-Nuke

PHP-Nuke es un sistema de gestión de contenidos de gran popularidad, utilizado en cientos de sitios web de todo el mundo. Escrito en PHP, es opensource, gratuito y cómodo de instalar y administrar, si bien ha mostrado un historial bastante amplio de vulnerabilidades.

La vulnerabilidad descubierta se debe a la falta de filtrado adecuado del parámetro “querylang” en el módulo Top antes de ser utilizado en peticiones SQL. Esta circunstancia puede ser explotada para manipular peticiones de este tipo e inyectar código SQL arbitrario. Gracias a esta técnica se podría, por ejemplo, acceder a los hashes md5 de las claves de usuario de los administradores.

Si bien el problema ha sido confirmado en todas las versiones 6 y en las 7 hasta la versión 7.6 (última disponible para descarga), no se descarta que pueda afectar a otras. A falta de un parche que solucione el problema, se recomienda filtrar con un proxy peticiones maliciosas o bien modificar el código para filtrar adecuadamente las entradas a dicho parámetro.

Redacción Silicon

La redacción de Silicon está compuesta por profesionales del periodismo 2.0

Recent Posts

Innovación, IA y crecimiento en el centro de la estrategia de Lenovo

Durante el Lenovo Tech World Iberia 2024, la compañía desgranó los buenos resultados de todas…

1 hora ago

Los españoles gastarán 375 euros de media en compras online durante el Black Friday y el Cyber Monday

Los productos electrónicos son los favoritos de quienes hacen sus compras por internet, seguidos de…

1 hora ago

Hacia los 107.000 millones de dólares de gasto en infraestructura de IA

IDC prevé esa cifra para 2028, a medida que el mundo incrementa la adopción de…

2 horas ago

Los envíos de ‘smartphones’ crecerán este año más de un 6%

IDC pronostica un incremento del 6,2 % hasta los 1.240 millones de unidades.

3 horas ago

Fugaku lidera las clasificaciones HPCG y Graph500

Este sistema de supercomputación marca un récord en la clasificación sobre gráficos con más de…

4 horas ago

En España, 2 de cada 3 empresas ni forman ni informan en ciberseguridad

Las medidas más populares son el 'backup', la protección frente al 'malware' y el almacenamiento…

6 horas ago